Está en la página 1de 23

Ataques Informáticos: Medidas Preventivas y Correctivas

Prof. Wílmer Pereira
USB / UCAB / UCV

Universidad Simón Bolívar

Prof. Wílmer Pereira

Universidad Católica Andrés Bello

Evolución en los ataques ...
Primera Generación (Ataque Físico): se centraban en los componentes electrónicos . Segunda Generación (Ataque Sintáctico): son contra la lógica operativa de las computadoras y las redes. Pretenden explotar las vulnerabilidades de los programas, algoritmos de cifrado y los protocolos. Tercera Generación (Ataque Semántico): colocación de información falsa en medios informativos, spam, falsificación de e-mails, estafas de ventas por Internet, alteración de bases de datos de índices estadísticos o bursátiles, etc.

Universidad Simón Bolívar

Prof. Wílmer Pereira

Universidad Católica Andrés Bello

Clases de ataques Número de paquetes a enviar en el ataque: Atomic: se requiere un único paquete para llevarlo a cabo Composite: son necesarios múltiples paquetes Información necesaria para llevar a cabo el ataque: Context: se requiere únicamente la cabecera del protocolo Content: es necesario también el campo de datos o payload Ping de la Muerte Land attack Winnuke Ataque DNS Proxied RPC Ataque IIS Atomic Universidad Simón Bolívar Prof. Wílmer Pereira Context Escaneo de Puertos SYN Flood TCP Hijacking Ataques SMTP String matches Sniffing Composite Universidad Católica Andrés Bello Content .

identidad. Wílmer Pereira Universidad Católica Andrés Bello . Infiltrar Infiltrarservidores servidores Modificar Modificarinformación información Negar Negarservicio servicio Difícil de prevenir. más se puede detectar Universidad Simón Bolívar Prof. sólo se puede prevenir Activos :: Activos Suplantar Suplantaridentidad.Tipos de Ataques Escuchar Escuchary ymonitorear monitorearaaescondidas escondidas Pasivos :: Pasivos Difícil de detectar.

Modelos de Ataques E R E R I Intercepción I Modificación E: Emisor R: Receptor I: Intruso E R E R I Fabricación Universidad Simón Bolívar Prof. Wílmer Pereira I Interrupción Universidad Católica Andrés Bello .

no autorizadas. INGENIERIA SOCIAL: Convencer a la víctima de hacer lo que en realidad no debería. etc) Recompensa (concurso de contraseñas :-( …) Universidad Simón Bolívar Prof. CABALLOS DE TROYA : Introducción dentro de un programa una rutina o conjunto de instrucciones.. desconocida de la víctima. Suplantación de una autoridad Ataque al ego Profesiones anodinas (personal de limpieza.. teléfono. El programa actúa de una forma diferente a como estaba previsto (por ejemplo robando e informando al cracker) o cambia el código fuente para incluir una puerta trasera. Wílmer Pereira Universidad Católica Andrés Bello .Ataques .

Esta es la fase previa a la preparación de un ataque o el inicio de una auditoría. nslookup. Existen otras utilidades: ping.. rusers. FOOTPRINTING: Extraer toda la información posible del objetivo del ataque.. etc. Esto se logra revisando los grupos de noticias públicos de esa comunidad (por ejemplo. Wílmer Pereira Universidad Católica Andrés Bello . red o dispositivo electrónico. previo al ataque.Ataques . Universidad Simón Bolívar Prof. rcpinfo. ya sea un sistema. finger (en desuso). whois) o los fuentes HTML de las páginas Web (wget).

por defecto.. que suele ser cero pero puede variar. – TOS : Ante los mensaje “ICMP port unreachable” puede examinarse el campo TOS. – FIN probe: Al enviarse un paquete FIN unos sistemas remotos no responden. otros como Windows NT devuelven un FIN-ACK. – Bogus flag probe: se activa un flag TCP aleatorio en un paquete SYN. – Monitorización del “Don’t fragment bit”: Algunos sistemas operativos. identificando el sistema operativo y las vulnerabilidades de la versión . – TTL : ¿Cuál es el valor de los paquetes salientes en el campo Time To Live (TTL)? Universidad Simón Bolívar Prof.. tienen el bit de no fragmentación (DF) como activo y otros no. Wílmer Pereira Universidad Católica Andrés Bello .Ataques . FINGERPRINTING: Extraer información de un sistema. Linux devuelven un SYN-ACK con el mismo flag activo.

Ataques .TCP SYN scan: se abren conexiones a medias. Si no hubiere servicio se recibe un RST-ACK. Wílmer Pereira Universidad Católica Andrés Bello . . En el caso de existir el servicio se devuelve un RST-ACK para no establecer conexión alguna. ESCANEO DE PUERTOS CON ICMP: verificar si hay direcciones IP activas..TCP connect scan: mediante el establecimiento de una conexión TCP completa (3 pasos). . determinando la existencia de un servicio si se recibe el SYN-ACK. y no ser registrados por el sistema objetivo. ESCANEO DE PUERTOS (Port Surfing): Buscar puntos de entrada o servicios instalados en los puertos bien conocidos. ya que simplemente se envía el paquete SYN inicial. Se usa nmap.. Universidad Simón Bolívar Prof.

Sin embargo los métodos son diferentes usan herramienta estilo troyanos (ttysnoop). Se usa wireshark corriendo sobre el puerto promiscuo del switch o en un hub. También son utilizados para capturar números de tarjetas de crédito y direcciones de e-mail entrantes y salientes. Universidad Simón Bolívar Prof.. Los casos más conocidos fueron : el robo de un archivo con más de 1700 números de tarjetas de crédito desde una compañía de música mundialmente famosa. Wílmer Pereira Universidad Católica Andrés Bello . Otro uso es para determinar relaciones entre organizaciones e individuos. y la difusión ilegal de reportes oficiales reservados de las Naciones Unidas..Ataques . cuando viajan en claro al ingresar a sistemas de acceso remoto. Este método lo utiliza el atacante para capturar login y passwords de usuarios. SNOOPING : Al igual que el sniffing es obtener la información sin modificarla. acerca de la violación de derechos humanos en algunos países europeos en estado de guerra. SNIFFING: Intercepción pasiva del tráfico de red.

. TAMPERING O DATA DIDDLING: Modificación desautorizada a los datos. o el reemplazo de versiones de software para download por otros con el mismo nombre pero que incorporan código malicioso como virus o troyanos(Back Oriffice o NetBus).Ataques . Estos ataques son particularmente serios cuando el atacante ha obtenido derechos de administrador pues pueden llevar hasta un DoS.. Múltiples web sites han sido víctimas del cambio de sus home page por imágenes terroristas o humorísticas. Wílmer Pereira Universidad Católica Andrés Bello . Universidad Simón Bolívar Prof. Los atacantes pueden ser empleados (o externos) bancarios que crean falsas cuentas para derivar fondos de otras cuentas. o al software instalado. incluyendo borrado de archivos. o contribuyentes que pagan para que se les anule la deuda de impuestos. estudiantes que modifican calificaciones de exámenes.

tiene la finalidad de evaporar la identificación y la ubicación del atacante. cuando en realidad puede estar siendo atacada por un insider. o por un estudiante a miles de kms de distancia.Ataques . Otra consecuencia del looping es que una compañía o gobierno pueden suponer que están siendo atacados por un competidor o una agencia de gobierno extranjera. Wílmer Pereira Universidad Católica Andrés Bello . llamado looping. El intruso usualmente utiliza un sistema como trampolín para ingresar en otro.. y así sucesivamente. IP SPOOFING: Suplantación de identidad como por ejemplo conseguir el nombre y password de un usuario legítimo.. pero que ha tomado la identidad de otros. Este proceso. SMTP SPOOFING Y SPAMMING: el puerto TCP 25 no realiza autenticación Universidad Simón Bolívar Prof.

obteniendo como resultado la eliminación temporal del mismo. Scripts como kaput hacen uso de esta vulnerabilidad (ya superada). SMTP Flood DDoS: DISTRIBUTED DoS: Realizar ataques DoS en forma masiva a un mismo objetivo visible desde distintos lugares de la red. • Net Flood: satura el sistema con mensajes que requieren establecer conexión: TCP SYN Flood. Wílmer Pereira Universidad Católica Andrés Bello .. • Finger Bomb: permite forzar al sistema destino a un consumo elevado de CPU realizando una petición finger recursiva. Connection Flood. DoS: Ataque que se concentra en sobrepasar los límites de recursos establecidos para un servicio determinado. Universidad Simón Bolívar Prof.Ataques ..

Wílmer Pereira Universidad Católica Andrés Bello .Fingerprinting con nslookup Universidad Simón Bolívar Prof.

Firewalls e IDS CERT (Computer Emergency Response Team). En Venezuela es VenCERT administrado por SUSCERTE (USA tiene 62 CERTS .). Todos estan coordinados por FIRST (Forum of Incident Response and Security Teams) http://www.Soluciones preventivas Reducir funcionalidades a las necesarias ( hardening) y reforzar las que quedan (armoring) Instalar parches de seguridad Estar suscrito a información sobre seguridad VPN.. Wílmer Pereira Universidad Católica Andrés Bello ..first.org A nivel latinoamericano está también LACNIC/seguridad ( Latin American and Caribbean Internet Addresses Registry ) Universidad Simón Bolívar Prof.

como. archivos e imágenes Históricos y archivos de configuración Hojas de cálculo.html) Prof. Error Errorepisodio episodioCSI CSI(2005) (2005) Greg GregSander Sanderleyó leyócorreos correos de deun uncomputador computadoren enuna una escena escenadel delcrimen crimen Debe considerarse que puede ser duplicada.evidence. eliminada y alterada Procedimientos: – – – – Esterilidad para evitar contaminación Verificación y resguardo mediante firma digital Mantenimiento de la cadena de custodia (quien la entregó. digital.Solución Correctiva: Informática Forense Ciencia Cienciaque queapoyada apoyadaen enla laevidencia evidenciadigital.info/vendors. etc.procura procuradescubrir descubrireeinterpretar interpretar la lainformación informaciónpara paraesclarecer esclarecerlos loshechos hechosyyformular formularhipótesis hipótesis Evidencia Digital: – – – Correos. …) Propietarias y código abierto (http://www. bases de datos. Wílmer Pereira Universidad Católica Andrés Bello Herramientas: Universidad Simón Bolívar .

Hackers de sombrero negro: Son la peor faceta del sentido de los hackers. Son delincuente que se apropian de información para su beneficio personal – – – Ciberterrorista Script kiddies Desarrolladores de virus Prof. Wílmer Pereira – Phreakers – Crackers – Atacante interno Universidad Católica Andrés Bello Universidad Simón Bolívar .Actores en Informática Forense Intruso Administrador Investigador En general todos especialistas en informática Hacking Término Términoacuñado acuñadoen enMIT MITalrededor alrededorde de1959 1959… …Inicialmente Inicialmente acuñado acuñadoaadesarrolladores desarrolladoresde deaplicaciones aplicacionessofisticadas sofisticadas Hackers de sombrero blanco: Personas cuyo motivo es aumentar su experticia técnica para explorar sistemas y diagnosticar fallas.

Fases de una Auditoría o Ataque El atacante o auditor del sistema: Reconocimiento general: Recolección de datos por Internet (whois) Revisión del sistema atacado Enumeración de servicios (nmap) Vulneración del sistema: Comprometer el sistema. servicios o programas Escalar los privilegios Mantener el control (troyanos) Eliminación y transferencia: Borrado de rastros manteniendo el control Busqueda de otras máquinas a partir de la atacada Universidad Simón Bolívar Prof. Wílmer Pereira Universidad Católica Andrés Bello .

insecuremag.encase.com/products/ef_index.org (open source) Universidad Simón Bolívar Prof.x-ways. número 59: Antiforense .asp http://www.. Wílmer Pereira Universidad Católica Andrés Bello ...) http://www.com http://www. Auditoría y hacking benéfico: http://www.accessdata.com Herramientas forenses: Encase: Forensic toolkit: Winhex: Sleuth Kit: http://www.com/products/utk http://www.Páginas de interes .net/forensic/index-m.cgisecurity.html http://www.org (volumen 11..sleuthkit.phrack.

Responsable del buen desempeño del sistema operativo.. facilita el desarrollo de aplicaciones pero es un modelo más vulnerable... Wílmer Pereira Universidad Católica Andrés Bello ... La auditoría y logs son vitales para el buen funcionamiento de los sistemas Universidad Simón Bolívar Prof. la base de datos . Los roles pueden estar separados dependiendo de la talla de la institución. La transparencia que ofrece el modelo Web.. Se requiere capacidad técnica y experiencia. la seguridad. las aplicaciones instaladas.Administrador . No basta que funcione … debe ser de manera confiable . Muchas veces el rol del administrador de seguridad se contrapone a las funcionalidades operativas. la red. los programas de clientes.

Herramientas de prevención Redes Privadas Virtuales (VPN) – Cliente/Red o Red/Red – Transparentes o no Transparentes Firewall – Tipos: Red. Aplicación o Kernel – Políticas: por defecto todo permitido o todo prohibido Sistemas de detección de intrusos (IDS) – Máquina • Verificador de integridad • Monitor de registros o históricos • Honey Pot – Red • Detección de uso indebido • Detección por anomalías Universidad Simón Bolívar Prof. Wílmer Pereira Universidad Católica Andrés Bello .

Universidad Simón Bolívar Prof.. etc . Wílmer Pereira Universidad Católica Andrés Bello . Certificaciones: IACIS: Programas de certificación forense CFCE HTCN.. ISFCE.Inicio de la cadena de custodio Preservación – Integridad de la evidencia física y digital Análisis – Revisión exhaustiva de la evidencia Presentación – Informe lo menos técnico posible...Investigador . IISFA. Identificación -.

peritos de la defensa y comunicadores sociales Varias universidades. peritos de la fiscalía. defensa. conforman juicios simultaneos donde se desarrolla el mismo caso Sólo el juez será un actor externo.Competencia simulación de juicio Grupo interdisciplinario de estudiantes de informática. con sus equipos. derecho y comunicación social Cada universidad conforma 5 equipos: fiscalía. La que obtenga mayor puntuación es la universidad ganadora Universidad Simón Bolívar Prof. Wílmer Pereira Universidad Católica Andrés Bello . de hecho jueces en ejercicio o jubilados Cada equipo es puntuado por evaluadores externos y se suman los puntos de los 5 equipos de cada universidad.